TMG学习（八），发布内网安全Web站点-桥接模式

桥接模式简而言之就是：TMG对加密数据进行解密检查，如果符合安全性要求再把数据传递给内网的Web站点。此外我们知道http是以文明方式进行传输的而https则是加密进行传输，网站如何加密呢？网站的加密需要使用证书，这个证书我们可以直接向企业内部的证书颁发机构(CA)进行申请，也可以直接到公网上进行购买，公网上有很多这样的证书颁发机构比如VeriSign等。那企业自己搭建CA颁发证书和向公网购买证书到底有什么区别呢？

 

区别在于如果您企业自己搭建CA那么通常情况下只有企业内部的客户端信任您的证书颁发机构，而到公网上购买证书则所有客户端都信任您的证书，因为公网上的证书颁发机构是被所有客户端都信任的，这个我们如何知道呢？其实在我们PC系统安装完成后，系统里面就自带了这些公网上受信任的证书颁发机构，如下图是win2008系统安装完成后自动信任的一些证书颁发机构。

 

 

在回到我的实验中TMG要对加密数据进行解密，那么我们必须把Web站点上的证书导入到TMG中否则，TMG无法对加密数据进行解密，此外TMG还必须信任我们的搭建的证书颁发机构，不然实验无法成功。

 

网络拓扑如下图：Web站点已经加入域，TMG没有加入域

 

 

实验思路：

1.搭建企业CA，发布证书吊销列表，有时候我们经常会遇到需要检查证书吊销列表，这步最好做一下具体根据实际情况，不做这步该实验也能成功

2.Web站点向CA申请证书，因为Web站点是域成员刷新组策略后自动信任我们的CA，证书绑定到网站上

3.Web站点的证书导入到TMG中，但是由于TMG没有加入域无法自动信任CA，所以我们直接访问CA，下载证书链来搞定TMG信任证书颁发机构

4.TMG使用桥接模式发布该站点，创建一个443的侦听器

5.测试公网客户端访问发布的站点是否成功

 

1.搭建企业CA，发布证书吊销列表

搭建企业CA我就不具体演示了，基本上就是在DC的服务器管理器中选择 “添加角色”，选择“Active Directory证书服务”然后一路下一步，如下图我已经安装好了，如果您实在不会请参考我以前的链接http://ksyiwen.blog.51cto.com/2754337/1331174

 

完成了企业CA的安装后，我们最好要发布下证书的吊销列表，在域里面的客户端可以非常方便的通过Ldap协议访问到企业CA的证书吊销列表，如下图所示，“指定用户可以获取证书吊销列表(CRL）位置

 

而对于非域的客户端如何向获得证书列表我们可以通过http协议，如下图进行选择 “http”，应用，确定

 

“您想立即重新启动服务吗”，选择“是”

 

重启成功后，选择“吊销的证书”选择“发布”

 

选择“新的CRL”，确定

 

以上就完成了证书吊销列表的发布

 

2.申请证书绑定网站

这部分在上一篇博文中我已经实验过了在此我就不重复了。

 

3.网站证书导出，然后导入到TMG，TMG信任企业CA

如下图，在选择我们上篇博文中申请的证书，右击选择 “导出”

 

选择证书导出位置，以及设置密码，这里我直接导出到桌面

 

完成后视图如下

 

如下图，我们把证书copy到TMG上，导入到TMG的证书（本地计算机）的个人证书中

 

选择证书的所在位置

 

输入刚才导出证书的密码，选择“下一步”

 

选择证书存储“个人”

 

导入成功

 

完成后视图如下

 

接着我们把信任做一下，即TMG需要信任我们的证书颁发机构，如下图，我们访问下CA的网站（注意：请在安装CA的时候选择证书机构的Web注册），选择“下载CA证书、证书链或CRL

 

选择“下载CA证书链”

 

我们可以注意下证书的后缀p7b，选择保存到桌面即可

 

完成后视图如下

 

最后我们把该证书导入到“受信任的根证书颁发机构”如下图，我已经导入成功了

 

4.TMG发布SSL网站，新建一个443的侦听器

如下图，选择“新建Web侦听器”

 

给个名称，listen 443 Port

 

选择“需要与客户端建立SSL安全连接”，选择“下一步”

 

本实验中公网地址有且只有一个，选择我们选择“外部”然后选择“下一步”

 

443的侦听器需要一张证书，我们选择“选择证书”

 

刚才我们的证书工作已经搞定了，因此我们选择即可

 

选择证书后，我们直接选择“下一步”

 

选择客户端如何向Forefront TMG进行身份验证以及Forefront TMG将如何验证其凭据，选择“没有身份验证”

 

保持默认选择“下一步”

 

选择“完成”

 

完成了侦听器的创建后我们就可以发布网站了，选择任务“发布网站”

 

网站的名称，SSL Web Site

 

允许

 

选择“发布单个网站或负载均衡器”

 

选择TMG “使用SSL连接到发布的Web服务器或服务器场”

 

内部站点名称，www.abc.com 这个我事先已经在DNS上进行了创建网站对应的A记录，因为TMG的DNS指向了公网顾无法解析该域名，所以我们要填写下IP地址

 

输入“/*” 这样表示发布整个网站，选择“下一步”

 

接受请求，选择“此域名”那么只有该域名可以访问我们发布的网站，其它域名即使解析到IP地址也无法访问，直接填写IP地址也无法访问

 

选择我们刚才创建的“侦听器”

 

选择“无委派，客户端无法直接进行身份验证”

 

用户集，保持默认

 

选择完成

 

完成后视图如下

 

我们测试下我们的规则是否成功，如下图，测试结果没有什么问题

 

5.测试客户端访问TMG部分的SSL站点

如下图，我客户端是和TMG外网卡在同一网段，修改该客户端的XP的hosts文件

 

如下图，xp输入www.abc.com  ，提示“即将通过安全连接查看网页”

 

提示证书不受信任，选择“是”

 

如下图，访问成功